Threat Database Malware snip3 Loader

snip3 Loader

Les chercheurs de Morphisec ont découvert une nouvelle menace malveillante menaçante et hautement sophistiquée qu'ils ont nommée crypteur «Snip3». La menace est proposée dans un schéma Cryptor-as-a-Service et est utilisée dans des campagnes d'attaque en cours qui fournissent de nombreuses souches RAT (Remote Access Trojans) en tant que charges utiles finales sur les machines compromises. Les fonctionnalités les plus puissantes du chargeur Snip3 sont ses capacités d'évitement de détection et d'anti-analyse basées sur plusieurs techniques avancées, telles que l'exécution de code PowerShell avec le paramètre `` remotesigned '', l'utilisation de Pastebin et de top4top pour la mise en scène, la compilation de chargeurs runPE à l'exécution, et vérification de la virtualisation Windows Sandbox et VMWare.

La chaîne d'attaque comprend plusieurs étapes, le vecteur d'attaque initial étant diffusé par le biais d'e-mails de phishing. Les messages de leurre tentent d'inciter l'utilisateur ciblé à télécharger un fichier de base visuel corrompu. Dans certains cas, les acteurs de la menace ont plutôt utilisé un fichier d'installation volumineux pour masquer la livraison de leur outil malveillant.

L'étape initiale de l'attaque Snip3

La première étape implique le déploiement d'un script VB qui est responsable de la préparation et de l'initialisation de la prochaine étape de l'attaque de malware - un script PowerShell de deuxième étape. Les chercheurs d'Infosec ont réussi à identifier quatre versions principales du script VB aux côtés de 11 sous-versions. Ce qui différencie les 4 versions est la méthode exacte utilisée pour charger le PowerShell next-sage, tandis que les sous-versions utilisent différents types d'obscurcissements. Il convient de noter qu'à ce stade précoce, l'acteur de la menace a implémenté une technique plutôt unique observée dans certaines des versions - le script exécute le PowerShell avec un paramètre `` -RemoteSigned '' comme commande.

Deuxième étape de l'opération Snip3

La deuxième étape consiste principalement à s'assurer que le malware n'est pas exécuté dans un environnement virtuel. Si tout semble être conforme aux attentes, le script PowerShell passera ensuite au chargement de RUnPE pour exécuter de manière réfléchie la charge utile RAT sélectionnée dans un processus Windows évidé.

Snipe3 est équipé de mesures anti-VM supplémentaires par rapport au code habituel vu dans la nature n'est pas capable de détecter Microsoft Sandbox. Pour rechercher des machines virtuelles potentielles telles que VMWare, VirtualBox ou Windows Sandbox, le script PowerShell extrait la chaîne Manufacturer et la compare à une liste de chaînes codées en dur. Pour détecter les environnements Sandboxie, le logiciel malveillant tente de résoudre un handle vers une DLL nommée SbieDll.dll. Si une machine virtuelle est trouvée, le logiciel malveillant met fin à ses opérations sans fournir la charge utile RAT.

Le déploiement d'une menace RAT

La dernière étape des opérations de Snip3 voit la menace livrer un malware RAT sélectionné au système infecté. Le mécanisme de distribution diffère de ce qui est couramment observé dans d'autres campagnes menaçantes. Snip3 double sa furtivité en transportant un code source intégré et compressé (GZIP) qui est compilé au moment de l'exécution. Ce code source semble être une version modifiée du runPE à partir d'un référentiel GitHub nommé NYAN-x-CAT.

Jusqu'à présent, plusieurs menaces RAT ont été observées comme étant la charge utile finale par Snip3. Le plus souvent, les menaces déployées sont ASyncRAT ou RevengeRAT . Cependant, il y a eu des cas où des variantes de Snip3 ont livré AgentTesla ou NetWire RAT .

Les organisations doivent prendre en compte l'IoC (Indicators-of-Compromise) divulgué et prendre en compte les capacités de Snip3 qui lui permettent de contourner facilement les solutions centrées sur la détection.

Tendance

Le plus regardé

Chargement...